NIは、CMMCの要件を満たすために必要なリソースを提供します。
LOVには、揮発性および不揮発性メモリの位置のリストと、それらのメモリの位置をクリアする手順を記載しています。NIでは、ほとんどのNIハードウェア製品にLOVを提供しています。LOVは、製品ドキュメントとともにni.com/docsまたはni.com/letters-of-volatilityから入手できます。
SBOMは、ソフトウェアアプリケーションとともにインストールされ、使用されるソフトウェアの全リストを提供します。SBOMは、エンドユーザにソフトウェアで使用されるコンポーネントを理解するためのドキュメントを1つ提供します。このリストにより、脆弱性が検出された際のシステムチェックが迅速に行え、迅速な対応計画の実施が可能になります。
NIでは、ソフトウェア製品のSBOMを作成しており、コンポーネントの脆弱性を特定し、必要に応じて更新を管理します。セキュリティ上の理由により、NIではこれらのSBOMを公開していません。NIのソフトウェア製品のSBOMをご希望の際は、security@ni.comまでお問い合わせください。対応の選択肢についてご相談させていただきます。
無料の (Libre) オープンソースソフトウェア (FOSSまたはFLOSS) には、エンドユーザに対して特定の利用またはライセンス制限が適用される場合があります。NIのソフトウェアにはオープンソースソフトウェアが含まれる場合があり、NIはそのソフトウェアのすべてのライセンス条件を順守するよう努めています。ソフトウェアのライセンス (オープンソースおよび非オープンソース) のコピーは、インストール後にProgram Files(x86)\National Instruments_Legal Information\フォルダで確認できます。NIのSBOMは、ライセンス情報の追跡にも利用できます。
ソフトウェア開発者は、静的コード解析を実行して、脆弱性のあるコンポーネントや安全でないコード手法を特定する必要がある場合があります。テキストベースのツールには、多くの静的コード解析ツールが市販されています。ただし、LabVIEWのグラフィカルプログラミング環境では、これらのツールに固有の課題があります。
LabVIEWと互換性のあるツールというこのニーズを満たすために、LabVIEWに含まれているVIアナライザを使用するユーザもいます。VIアナライザは、セキュリティの問題ではなく、コード品質の問題をスキャンします。しかし、これらは密接にリンクしており、VIアナライザはLabVIEW VIの安全性を低下させるコードの問題を特定するのに役立ちます。
より完全な静的解析ツールのために、JKIはJ-Crawlerと呼ばれるすべての機能を備えた静的解析ツールを作成しています。このツールは、LabVIEW開発者によって追加されたコードコンポーネントを含む完全なSBOMを生成し、LabVIEWコードの安全性を低下させる最も一般的なコードの問題を検索します。J-Crawlerの詳細については、http://jki.netをご覧ください。
NIでは、製品のセキュリティ機能を向上させるための製品構成のガイダンスを提供しています。NI製品を最も安全な方法で利用するには、以下の資料を参照してください。
一部の製品について、NIはNIST 800-171の要件を満たす方法やエンドユーザが講じるべき対応を詳述した適合対応ガイドを公開しています。次の適合ガイドをご希望の場合は、security@ni.comまでご連絡ください:
米国国防情報システム局 (DISA) は、public.cyber.mil/stigs/でセキュア技術実装ガイド (STIGs) のデータベースを管理しています。DISAは、STIGを公開する前にサプライヤと連携し、製品を理解した上でSTIGを承認します。
NIはDISAと協力して、さまざまな製品のSTIGを公開しています。DISAは、LabVIEWのSTIGプロセスを検討した結果、LabVIEW自体にはSTIGが不要であると判断しました。これは、エンドユーザがLabVIEWを使用してアプリケーションを構築し、そのアプリケーションにおいて大部分のセキュア構成が行われるためです。LabVIEW用STIGの代わりに、上記のセキュリティ構成ガイドを使用してください。
DISAによって新たなSTIGが承認・公開され次第、資料をリンク付きで更新します。
Linux®は、全世界における商標保持者Linus Torvalds氏から排他的ライセンスを受けているLMI (Linux Mark Institute) からの許諾により使用しています。